Da imposição à suspensão da medida preventiva
Em comunicado feito no dia 22 de Maio, a Meta informou que iria utilizar algumas informações do usuário para treinar suas IA’s generativas. Segundo a empresa,uma das maneiras de desenvolver sua IA de forma responsável é “usando uma combinação de fontes para treinar nossos modelos fundacionais de IA, incluindo informações disponíveis publicamente e dados licenciados na internet.[…] Também podemos usar informações que as pessoas compartilharam publicamente sobre os produtos e serviços da Meta para alguns de nossos recursos de IA generativa. Essas informações podem incluir postagens ou fotos públicas e suas respectivas legendas.” Contudo, conteúdos de mensagens pessoais não serão utilizados para treinar IA.
O tratamento entrou em vigência no dia 26 de junho de 2024 e levantou dúvidas sobre a conformidade à proteção de dados deste tratamento. Em resposta, a ANPD (Autoridade Nacional de Proteção de Dados) informou que iria questionar a Meta sobre o fato de a empresa não ter comunicado devidamente aos usuários brasileiros que começaria a usar publicações no Instagram e no Facebook para alimentar modelos de inteligência artificial.
De acordo com a autoridade, “Considerando os princípios da boa-fé, da transparência e da responsabilização e da prestação de contas, para uma mudança dessas, é essencial um claro aviso aos usuários da plataforma, para que possam escolher de maneira livre e informada o que fazer. Não há transparência quando há surpresas”
Pouco tempo depois, no dia 02/07, a ANPD emite medida preventiva e ordena a suspensão do treinamento de IA generativa e a suspensão da política de privacidade que autoriza a execução de tal tratamento. A medida vem para evitar dano grave e possivelmente irreparável aos titulares que tiveram seus dados utilizados para treinamento de IA generativa.
Em decisão, a autoridade se valeu de 4 argumentos principais para justificar a medida, são eles: (i) uso do legítimo interesse como base legal inválida no contexto; (ii) Falta de transparência (iii) direito de oposição limitado e (iv) impacto a grande quantidade de titulares, incluindo não usuários da plataforma, criança e adolescentes. No dia 10/07, o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) decidiu manter a Medida Preventiva aplicada ao grupo Meta após pedido de reconsideração da empresa. A partir disso, a ANPD solicitou a apresentação de um plano de conformidade e o teste de balanceamento do legítimo interesse para o caso em questão.
Em resposta, a Meta enviou a documentação necessária e a análise da ANPD concluiu em seu voto que os 4 elementos que subsidiaram a medida provisória foram endereçados, afastando o risco de dano grave e possivelmente irreparável aos titulares. Abaixo detalhamos como a autoridade considerou em cada um dos casos.
———————-
Importante: O teste de balanceamento e os documentos apresentados pela Meta se encontram classificados como sigilosos no processo. Nesse sentido, a análise feita nessa coluna se limita às descrições feitas no voto.
- Legítimo Interesse
Pontos da decisão
Argumento da medida preventiva:(1) Na medida preventiva, a ANPD argumentou que a possibilidade do uso de dados sensíveis tornaria difícil a validade da base legal;(2) Mesmo se o tratamento só utilizasse dados não sensíveis, ainda seria necessário avaliar outros requisitos do legítimo interesse como as legítimas expectativas; (3) Há possível violação aos princípios da finalidade e adequação no uso da base legal pois a finalidade alegada para o tratamento é genérica e não parece guardar compatibilidade com a finalidade original pela qual esses dados foram tratados.
Decisão de suspensão da medida: a ANPD informou que a Meta apresentou o teste de balanceamento do legítimo interesse com informações detalhadas sobre o tratamento de dados para o treinamento de IA da empresa. Tal documentação é necessária para a suspensão da medida.
A autoridade destacou que a Meta implementou novas salvaguardas para evitar o tratamento de dados de terceiros por inferência e facilitou a opção de opt-out, medidas que fortalecem o respeito às legítimas expectativas segundo a ANPD.
Apesar de apresentação do teste do legítimo interesse seja responsável pela suspensão da medida preventiva, a ANPD afirma que questões específicas sobre a validade da base legal ainda demanda aprofundamento e será avaliada no decorrer do processo fiscalizatório. Na visão da autoridade, a suspensão da medida não significa que o uso do legítimo interesse pode ser irrestrito para o tratamento de dados com finalidade de treinamento de IA.
Uma das questões levantadas para serem aprofundadas é a possibilidade de dados sensíveis serem incidentalmente tratados. Nesse ponto, a autoridade reafirma que a base legal não se aplica ao tratamento de dados sensíveis, o que exige medidas e salvaguardas adequadas para evitar que esse tipo de dado seja utilizado no treinamento de IA.
Em seu teste do legítimo interesse, a Meta afirmou que desidentifica os dados pessoais de seus usuários na fase de pré-treinamento de seus modelos de IA Generativa. Além disso, afirma que o risco de reidentificação de usuários é bastante limitado pois o treinamento de IA não visa identificar usuários para além das próprias medidas de anonimização.
Já a Coordenação-Geral de Fiscalização (CGF) deu o seguinte parecer sobre a pseudonimização no caso:
“A existência de salvaguardas que garantam a possibilidade de pseudonimização dos dados pessoais de usuários, com o objetivo de mitigar eventuais efeitos lesivos aos titulares derivados do tratamento, mostra-se como medida concreta que permitiria a incidência das hipóteses legais do art. 7º da LGPD para o tratamento de dados pessoais com vistas ao treinamento de modelos de IA generativa.”
Sobre esse assunto, a área técnica da ANPD destacou que a análise sobre a eficácia das medidas de anonimização exige exame mais criterioso.
- Transparência
Argumento da medida preventiva: Na avaliação da autoridade, faltavam informações adequadas para que o titular pudesse compreender quais as consequências do tratamento. No caso, a mudança na política de privacidade foi comunicada de forma limitada no Brasil em comparação com a União Europeia.
Decisão de suspensão da medida: Segundo a ANPD, a Meta apresentou medidas de melhora da transparência como:
- Notificação aos usuários nos aplicativos e emails
- Mudanças na política de privacidade
- Disponibilização de espaço dedicado no site sobre o tratamento de dados
Em relação ao envio da notificação, a Meta informou que a notificação sobre o tratamento de dados para treinamento de IA será enviada nos aplicativos e emails de usuários com 30 dias de antecedência ao início do tratamento.
Já com relação às mudanças na política de privacidade, foi incluída a descrição dos tipos de dados usados, origem, informação de que não são tratados dados de menores de 18 anos, por exemplo.
Por último, a Meta sugeriu a publicação da notícia sobre o tratamento em sua Sala de Imprensa com as informações sobre a melhoria de transparência e facilitação de acesso ao formulário de oposição ao tratamento.
- Direitos dos titulares
Argumento da medida preventiva: A autoridade compreendeu que a complexidade para exercer a opção de opt-out parece com um padrão obscuro de design (dark pattern) e dificulta o exercício da opção. Por exemplo, eram precisos mais de 7 cliques para chegar à opção em uma das plataformas. Por conta disso, existem fortes limitações ao exercício do direito à oposição dos titulares.
Decisão de suspensão da medida: De acordo com a decisão, a Meta facilitou o acesso ao opt-out diminuindo a quantidade de cliques necessários para o exercício da opção, bem como foram tomadas novas medidas de transparência para o exercício do direito à oposição.
Além disso, a Meta informou que os pedidos de oposição são atendidos automaticamente, de forma que não há necessidade de recurso pelo usuário. Para usuários da plataforma, é possível se opor ao tratamento de duas formas
- Manifestar a oposição em formulário específico para isso.
- Mudar as configurações de conta para conta privada. Como o treinamento de IA será feito somente com informações públicas do usuário, caso a conta seja privada, tais dados não serão utilizados no tratamento.
Outro elemento importante é que titulares que não são usuários das plataformas da Meta também podem manifestar oposição ao uso de seus dados para treinamento de IA. Uma vez manifestada a oposição, a Meta irá respondê-la em até 15 dias.
Também é possível se opor ao tratamento dos dados antes e depois do início do treinamento do modelo de IA da Meta. Se o pedido for feito depois do início do tratamento, ele será interrompido na data em que o pedido for acatado pela Meta. Abaixo reproduzimos o trecho de email onde a Meta disponibiliza o formulário de opt-out:
“Para ajudar a trazer essas experiências até você, queremos que você saiba que usaremos suas informações públicas no Facebook e no Instagram com base no legítimo interesse. Nós faremos isso para desenvolver e melhorar modelos de IA generativa para os recursos e as experiências da IA na Meta. Você tem o direito de se opor ao uso de suas informações para essas finalidades. Se sua oposição for atendida, a partir de então, nós não usaremos suas informações públicas do Facebook e do Instagram para desenvolver e melhorar modelos de IA generativa para os recursos e as experiências da IA na Meta. Se já se opôs, você não precisa enviar outro pedido.”
- Tratamento de dados de crianças e adolescentes.
Argumento da medida preventiva: A autoridade entendeu que o tratamento atinge um número substancial de usuários com a possibilidade de tratamento de dados de crianças e adolescentes na medida em que essas informações podem ter sido disponibilizadas por terceiros na plataforma.
Decisão de suspensão da medida: De acordo com a decisão, a Meta incluiu em seu plano de conformidade que não irá tratar dados de contas de menores de 18 anos. Além disso, a empresa afirmou que continuaria a dialogar com a ANPD para discutir a legitimidade do tratamento de dados desse grupo de titulares.
Por conta disso, a ANPD mantém a suspensão do treinamento de IA generativa para essas categorias de titulares. Tal disposição também vale para o tratamento incidental de dados de pessoas menores de 18 anos.
PPD e IA são harmônicos
A suspensão da medida preventiva é um grande exemplo de como a regulação de IA guarda harmonias regulatórias e materiais com a proteção de dados pessoais. Isso é impactante na medida em que o caso já mostra como a IA já está sendo regulada através da LGPD.
Nesse cenário, A edição 47 do curso Privacidade e Proteção de Dados: Teoria e Prática está aprimorada. Com uma nova ementa, temas e estratégias de ensino, ela é a consolidação de diversos entendimentos no cenário Brasileiro, isso significa dizer que entender de proteção de dados já é meio caminho andado para entender bem a regulação de IA que está por vir. Aproveite a última turma para entrar no mercado da regulação das tecnologias em 2024. Inscreva-se no PPD